WordPress 安装后必做的 10 项核心配置（2026 新手完整清单）

装完就发布，是大多数新手会犯的错

WordPress 安装完默认状态，就好比刚交房的毛坯房：能住，但住进去不舒服，也不安全。

很多新手装完就开始写内容、上产品图，结果半年后发现：

• 文章 URL 是 ?p=123 这种鬼东西，SEO 毫无价值
• 后台被暴力破解，某天醒来网站全是赌博广告
• 联系表单发出去的邮件全进垃圾箱，询盘丢了都不知道
• 速度一直没优化，PageSpeed 一直在 40-50 分徘徊

这 10 项配置，是我自己每次新建站都会做的操作，按顺序走一遍，大概需要 1-2 小时，能帮你避开上面所有的坑。

如果您还不会安装WordPress 程序可以参考：WordPress 外贸独立站2026完整教程

第 1 项：补全网站基本信息

路径：设置 → 常规

刚装完的 WordPress，这些基础信息需要逐一确认：

字段	说明	外贸站建议
站点标题	显示在浏览器标签和搜索结果里	填你的品牌名，不要用默认的「My Blog」
副标题	紧跟在标题后面的描述	填核心业务关键词，如「Professional Valve Manufacturer」
站点地址	前端访问 URL	确认是 https:// 开头，不是 http://
电子邮件地址	系统发送通知的邮件地址	填你真实使用的邮箱，不要用临时邮箱
时区	影响文章发布时间显示	中国用户选「UTC+8」；面向欧美客户可选对方时区
日期格式	外贸站建议改成 Y/m/d 或 F j, Y	避免 m/d/Y 和 d/m/Y 混淆

填完点 保存更改。

第 2 项：删掉所有默认示例内容

WordPress 安装后自带几个示例内容，它们对你的网站没有任何价值，留着反而是负担：

需要删除的内容：

① 「Hello World」示例文章 路径：文章 → 所有文章 → 找到「Hello World」→ 移至回收站 → 清空回收站

② 「示例页面（Sample Page）」 路径：页面 → 所有页面 → 找到「Sample Page」→ 删除

③ 示例评论 路径：评论 → 找到 Mr WordPress 的评论 → 删除

④ 默认插件（如果不用的话） 路径：插件 → 已安装插件 → 停用并删除 Akismet Anti-Spam 和 Hello Dolly

Akismet 是反垃圾评论插件，如果你打算开放评论功能，Akismet 可以保留（需要注册 API Key 激活）。Hello Dolly 是个纯装饰性插件，直接删。

如果您需要实现新功能安装新插件可参考：WordPress 插件安装教程

⑤ 默认主题 只保留一个你在用的主题，其余默认主题（Twenty Twenty-One、Twenty Twenty-Two 等）全部删除，理由是主题文件有漏洞也是攻击入口，不用就不留。

路径：外观 → 主题 → 鼠标悬停在不需要的主题 → 点「主题详情」→「删除」

如果您想换主题也可手动安装新主题，可参考：WordPres 主题安装教程

第 3 项：修改固定链接结构（SEO 影响最大的一步）

路径：设置 → 固定链接

WordPress 默认的 URL 格式长这样：yourdomain.com/?p=123

这种 URL 对搜索引擎和用户来说都完全没有意义，是 SEO 最差的格式。

推荐选择：

选择 「文章名」 选项，URL 格式变为：yourdomain.com/article-slug

这是目前公认 SEO 最友好的结构。设置固定链接（伪静态），优势在于提高 URL 可读性，有利于搜索引擎优化和提升排名。

⚠️ 这一步必须在发布任何内容之前做！ 如果网站已经有文章了，改了固定链接结构，所有已有文章的 URL 都会变化，旧链接全部失效，会产生大量 404 错误，对已有的 SEO 排名损伤很大。建站初期就该把这项配好。

中英文混合站的补充说明： 如果你的文章标题是中文，WordPress 默认会把中文标题编码成一大串 %E7%9... 的 URL，非常丑陋。建议在每篇文章发布前，手动在右侧「永久链接」里填一个纯英文的 Slug，比如 wordpress-seo-tutorial。

可参考：WordPress固定链接设置

第 4 项：开启 HTTPS，全站强制 SSL

如果你的主机已经配好了 SSL 证书（SiteGround、Hostinger 等托管主机一般自动配好），这一步非常快。

为什么必须开 HTTPS？

Google 已经明确表示，使用 HTTPS 加密的网站会获得更好的排名，HTTPS 能防止数据泄露、防止中间人攻击，同时提升用户信任度。

更直接的影响：Chrome 浏览器会在 HTTP 站点地址栏显示红色「不安全」提示，外贸客户看到这个直接关掉，询盘就没了。

操作步骤：

1. 确认主机控制面板已安装 SSL 证书（Let’s Encrypt 免费证书）
2. 进入 WordPress 后台 → 设置 → 常规，把「站点地址」和「WordPress 地址」都改成 https:// 开头
3. 在宝塔面板网站设置里控制台开启「强制 HTTPS」（如果用了 宝塔面板 / aapanle）
4. 也可安装 Really Simple SSL 插件一键处理混合内容问题

第 5 项：修改管理员账号（安全关键）

如果你的管理员用户名是「admin」，现在就去改。

「admin」是黑客暴力破解程序必试的第一个用户名。因为知道了用户名相当于知道了1/2的登录凭据，这使得黑客进行暴力攻击更加容易。

WordPress 不允许直接修改用户名，正确做法是：

步骤：

1. 用当前管理员账号登录
2. 进入 用户 → 新增用户，创建一个新管理员，用户名设为你自己知道的非 admin 名字（如 jsmith_admin）
3. 给新账号设置角色：管理员
4. 登出，用新账号登录
5. 进入 用户 → 所有用户，删除原来的「admin」账号（删除时把内容转移到新账号）

同时做这两件事：

① 密码强度：建议 16 位，包含大小写 + 数字 + 特殊符号。用密码管理器记录，不要用生日或公司名。

② 开启两步验证（2FA）：安装 WP 2FA 插件（wordpress.org 免费，100,000+ 安装），给管理员账号绑定 Google Authenticator 或短信验证，即使密码泄露也进不来。

相关教程：WordPress 双重身份验证 WP 2FA 插件安装与配置教程

第 6 项：安全加固——4 个动作，挡住 80% 的攻击

据 Wordfence 对 1000 多名受黑客攻击的 WordPress 站主的研究，插件漏洞占黑客已知入口点的 55.9%。（来源：Wordfence 研究报告）

做好这 4 个动作，可以挡住绝大多数的自动化攻击：

① 安装 Wordfence Security（免费）

后台 → 插件 → 安装插件 → 搜索「Wordfence」→ 安装启用

启用后：

• 开启 Brute Force Protection（登录失败 5 次锁定 IP）
• 运行一次全站扫描（Wordfence → Scan → Start New Scan）
• 开启 Web Application Firewall（WAF）

② 限制登录尝试次数

Wordfence 已内置此功能，设置路径：Wordfence → Firewall → Brute Force Protection，把「Lock out after how many login failures」设为 5 次。

③ 禁用文件编辑器

WordPress 后台自带代码编辑器，一旦后台被入侵，攻击者可以直接改主题 PHP 代码植入恶意代码。在 wp-config.php 中加入以下代码禁用：

php

define( 'DISALLOW_FILE_EDIT', true );

（通过 aaPanel 文件管理器或 FTP 编辑，路径：网站根目录 → wp-config.php）

第 7 项：装缓存插件——速度立竿见影

没有缓存的 WordPress，每个访客来都要实时执行 PHP + 查询数据库 + 拼装 HTML，并发访问一多，服务器就会扛不住。

缓存插件通过生成静态页面，避免了每次访问都执行 PHP 和数据库查询，是提升速度最有效的手段之一。

根据服务器环境选择：

服务器类型	推荐缓存插件	理由
Apache / Nginx（SiteGround / 搬瓦工）	WP Rocket（付费）或 W3 Total Cache（免费）	兼容性广，配置简单
OpenLiteSpeed（aaPanel 安装 OLS）	LiteSpeed Cache（免费）	调用服务器级缓存，性能天花板最高
托管型主机（如 Kinsta / SiteGround）	主机内建缓存 + WP Rocket 辅助	主机缓存 + 应用缓存双层加速

点击获取：WP Rocket 插件官方正版授权（本站在用的缓存插件）

LiteSpeed Cache 快速开启：

1. 后台搜索安装「LiteSpeed Cache」
2. 进入 LiteSpeed Cache → 缓存 → 开启「启用缓存」
3. 进入 LiteSpeed Cache → 页面优化 → 开启 CSS/JS 压缩和合并
4. 开启图片懒加载

激活缓存后用 PageSpeed Insights 测一次，速度提升通常非常明显。

第 8 项：配置 SMTP 邮件发送

WordPress 默认用 PHP mail() 函数发邮件，这个方式在大多数主机环境下几乎肯定进垃圾箱，甚至根本发不出去。

影响有多严重？

• 联系表单提交的询盘邮件你收不到
• 用户重置密码收不到邮件，投诉你
• 订单确认邮件进垃圾箱，客户以为购买失败

解决方案：SMTP + 免费邮件服务

推荐组合：WP Mail SMTP 插件 + Gmail/Zoho Mail 的 SMTP

步骤：

1. 安装「WP Mail SMTP」插件（wordpress.org，3,000,000+ 安装量）
2. 进入 WP Mail SMTP → 设置 → 选择邮件服务商（Gmail / 其他 SMTP）
3. 填入 SMTP 主机、端口、发件邮箱和密码（或 App Password）
4. 发送测试邮件验证

插件教程：
WP Mail SMTP 插件使用教程：解决WordPress邮件发送失败问题
Google 邮箱如何开启 SMTP 服务？图文教程

Gmail SMTP 参数（来源：Google 官方文档）：

参数	值
SMTP 主机	smtp.gmail.com
端口	587（TLS）或 465（SSL）
加密方式	TLS
用户名	你的 Gmail 地址
密码	Gmail App Password（需先在 Google 账号开启两步验证）

第 9 项：安装 SEO 插件并完成初始配置

推荐：Rank Math SEO（免费版功能完整）

SEO 插件不是「装了就好」，需要完成初始向导配置才能发挥效果。

快速核对清单：

• 运行安装向导（高级模式）
• 填写网站类型和 Logo
• 连接 Google Search Console（获取真实排名数据）
• 配置 Sitemap（开启，关闭媒体附件索引）
• 提交 Sitemap 到 Google Search Console
• 低价值页面设置 noindex（日期归档、作者归档、搜索页）
• 设置文章默认 Schema 类型（外贸展示站选 Article，测评选 Review Article）

关于 Rank Math 的详细配置，参见：Rank Math SEO 基础配置教程：外贸建站必做 10 步

第 10 项：设置自动备份

这是很多人会跳过、直到出事才后悔的一步。

网站被黑、主题更新出错、误操作删了内容，如果没有备份，就是从头来过。

推荐：UpdraftPlus（免费版足够大多数站）

• https://wordpress.org/plugins/updraftplus
• 活跃安装量：3,000,000+（来源：wordpress.org）
• 支持备份到 Google Drive、Dropbox、亚马逊 S3、FTP 等

推荐的备份策略：

备份类型	频率	保留数量
完整备份（数据库 + 文件）	每周一次	保留最近 4 份
数据库备份	每天一次	保留最近 7 份

配置路径：设置 → UpdraftPlus Backups → 设置标签页

把备份存储到远程（Google Drive 最方便），不要只存在服务器本地——服务器挂了本地备份也没了。

你也可以用 All-in-One WP Migration

插件下载地址：https://wordpress.org/plugins/all-in-one-wp-migration/
相关教程：WordPress备份迁移神器：All-in-One WP Migration 插件教程

10 项配置速查清单（收藏备用）

做完贴在电脑旁边，新建每个站都对照一遍：

基础设置：

• 填写站点标题/副标题/时区/管理员邮箱
• 删除 Hello World 文章、Sample Page、默认主题、Hello Dolly 插件
• 固定链接改为「文章名」格式
• 开启 HTTPS，强制 SSL

安全设置：

• 管理员账号不用 admin
• 密码 16 位以上 + 开启 2FA
• 安装 Wordfence，开启 WAF + 登录保护
• wp-config.php 禁用文件编辑器
• 关闭 XML-RPC（非必要情况）

性能 & 功能：

• 安装缓存插件（LiteSpeed Cache 或 WP Rocket）
• 配置 SMTP 邮件发送（WP Mail SMTP + Gmail）
• 安装 Rank Math SEO，完成初始向导
• 安装 UpdraftPlus，设置每周自动备份到 Google Drive

---

常见问题 FAQ